يتلقى روبي أون ريلز تصحيح الأمان الثالث في أقل من شهر

مطورو إطار عمل تطوير Ruby on Rails ويب إصدار 3.0.20 و 2.3.16 من البرنامج يوم الاثنين من أجل معالجة الضعف الحرج في تنفيذ التعليمات البرمجية عن بُعد.

هذا هو التحديث الأمني ​​الثالث الذي تم إصداره في شهر يناير لـ Ruby on Rails ، وهو إطار شائع بشكل متزايد لتطوير تطبيقات الويب باستخدام لغة برمجة Ruby التي تم استخدامها لإنشاء مواقع الويب مثل Hulu و GroupOn و GitHub و Scribd

وصف مطورو Rails التحديثات التي تم إصدارها يوم الاثنين بأنها "بالغة الأهمية" في مشاركة المدونة ونصحت جميع مستخدمي فروع برامج 3.0.x و 2.3.x Rails بالتحديث الفوري.

[المزيد القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

وفقًا لنصيحة أمان مقابلة ، تتناول إصدارات Rails التي تم إصدارها حديثًا ثغرة أمنية في شفرة Rails JSON (ترميز كائن جافا سكريبت) تسمح للمهاجمين بتجاوز أنظمة المصادقة ، وضرب SQL التعسفي (لغة ​​الاستعلام الهيكلية) في قاعدة بيانات التطبيق ، حقن وتنفيذ التعليمات البرمجية التعسفية أو تنفيذ هجوم الحرمان من الخدمة (DoS) ضد تطبيق.

مطوري Rails أشار إلى أنه على الرغم من تلقي هذا التحديث ، فإن Rails 3.0.x لم يعد فرع معتمد رسميا. "يرجى ملاحظة أنه يتم دعم فقط 2.3.x ، 3.1.x و 3.2.x سلسلة في الوقت الحاضر" ، وقالوا في الاستشاري.

وننصح مستخدمي إصدارات القضبان التي لم تعد معتمدة للترقية في أقرب وقت ممكن إلى إصدار أحدث معتمد ، لأنه لا يمكن ضمان استمرار توفر إصلاحات الأمان للإصدارات غير المعتمدة. لا تتأثر الفروع الجديدة 3.1.x و 3.2.x Rails بهذه الثغرة الأمنية.

تم تعريف ثغرة أمنية Rails الأخيرة على أنها CVE-2013-0333 وهي مختلفة عن CVE-2013-0156 ، وهي ثغرة أمنية حساسة لإدخال SQL تم تصحيحها الإطار على 8. يناير وأكد المطورين القضبان يمكن للمستخدمين القضبان 2.3 أو 3.0 الذي تم تثبيته مسبقا على الإصلاح لCVE-2013-0156 لا تزال هناك حاجة لتثبيت الإصلاح الجديد الذي صدر هذا الأسبوع.